Verschillende botnets maken actief misbruik van een kritieke kwetsbaarheid in Wazuh, een opensource-beveiligingsplatform voor het voorkomen en detecteren van dreigingen en incidentrespons. Dat laat internetbedrijf Akamai in een analyse weten. Het misbruikte beveiligingslek (CVE-2025-24016) laat een aanvaller willekeurige code op kwetsbare Wazuh-servers uitvoeren. Hiervoor volstaat het uploaden van een 'unsanitized dictionary'.

De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.9. In februari verscheen er een beveiligingsupdate voor het probleem. Akamai laat nu weten dat verschillende varianten van de Mirai-malware de kwetsbaarheid misbruiken om servers onderdeel van een botnet te maken. Daarnaast zijn er ook aanvallen door het "Resentual-botnet" waargenomen. Eind februari verscheen er proof-of-concept exploitcode voor de kwetsbaarheid. Bij de nu waargenomen aanvallen wordt van deze exploitcode gebruikgemaakt.

"Pogingen van onderzoekers om organisaties te wijzen op kwetsbaarheden door proof-of-concepts te maken blijven tot rampzalige resultaten leiden, en laten zien hoe belangrijk het is om patches te installeren zodra die uitkomen", aldus Akamai. "Botnetbeheerders houden openbaarmakingen van kwetsbaarheden in de gaten, en met name in gevallen waarbij ook proof-of-concepts beschikbaar zijn, zullen ze de proof-of-concept code snel aanpassen om hun botnet verder te verspreiden."